金山火眼 - 尼玛范爷

https://fireeye.ijinshan.com/

1.传说
孙大圣在太上老君的八卦炉里炼了七七四十九天，炼就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照，便立刻显露原形。
某年月日，安全实验室几个技术宅被老板关进八卦炉炼也不知过了几个七七四十九天，待到技术宅们开光显身之际，他们也炼成了一双“火眼”。
具体有没有炼够七七四十九天，有兴趣的同学可以问下坛子里那个叫"高压气瓶"的家伙。

2.“火眼”是什么
简单说，“火眼”就是一套自动化的病毒样本动态行为分析系统，可对未知文件的行为给出详细的分析报告。 
这一点来讲，火眼和静态文件鉴定是两回事，这也是火眼和云鉴定的本质区别。

将火眼系统与医学检验设备类比可以很容易理解：
以前生病去医院做检查，检验师须配制分析试剂处理血样，在显微镜下仔细判读细胞的形态、数量、评估生理特性。效率很低，且受经验影响很大，同一份血样由不同的医师判读，可能相差甚远。
现在简单了，检验师直接将采集的样品放到一个自动分析仪中，几秒钟即可打印出化验单。医师看了化验单就大致了解病情，而一个比较了解医学知识的人，对着化验单，也能看个八九不离十。
“火眼”就是这样一套自动化的病毒样本分析系统，安全爱好者将自己采集到的可疑样本提交到系统中，等几分钟，系统就会给这个病毒样本打印出一份“化验单”。不太专业的安全爱好者对照这份“化验单”也能猜个八九不离十。


三.设计火眼的动机
毫无疑问，和医学科研一样，计算机病毒自动分析仪产生的最初动机，就是提升病毒分析的效率，用系统去模拟一个专业病毒分析师对可疑文件进行专业分析。
在没有“火眼”之前，安全软件发烧友一般用下面三种方法来分析鉴定文件是不是病毒：（坛子里喜欢折腾病毒的诸位，你们是这样折腾的吗？）

1.杀毒软件扫描
用杀毒软件对目标文件执行扫描是最常见的作法，一个杀毒软件可能不准，就用多个杀毒软件，常见有网民在一台电脑使用2，3个杀毒软件检查。或者将样本提交到VirSCAN.org扫描，若有多个杀毒软件报毒，就判断这个文件是病毒。到底这个文件是不是病毒呢？实际上扫描之后仍然是吃不准的。因为不清楚这个可疑文件到底有哪些具体的恶意行为。

2.专业分析
通过解壳、解密，反汇编，或者使用IDA、OllySafe这样的专业工具对可疑样本进行分析。这只有具备相应专业技能的软件工程师才能做到。

3.简单行为分析
很多人不具备逆向分析的能力，会使用一些简单的工具完成病毒行为分析和指导手工清除。可采用的工具有：Sreng、AutoRuns、Xurte等等。比如前几年就流行使用Sreng，发现问题就扫描一个日志，再交给更专业的人分析日志，然后再做一个手动恢复的建议。

也有使用Sandboxie运行可疑文件，观察具体行为，或先用installwatch记录文件运行前后的系统配置镜像变化，用Regshot这样的软件比较都有哪些注册表条目被修改，然后判断这个可疑文件是不是有害的，或者花更多时间使用虚拟机来更清晰的观察程序运行之后的结果。

以上这些方法虽相对精确，但明显存在以下这些问题需要克服：
1.疲劳
分析员使用IDA、OllySafe静态分析病毒代码，就如同常人阅读一本书，需要从头看到尾，才能大致了解这本书的意图。而分析员可能需要一天到晚看病毒代码，头晕眼花看走眼极有可能出现分析结论出错或者分析不全面。

2.效率
一个分析员处理一般的病毒，一个工作日不过三、五十个，如果需要详细的出具一份病毒分析报告，则需要大量时间。在遇到难缠的病毒时，还可能需要几天时间。普通网友用虚拟机等工具观察一个可疑文件需要花更长的时间。

3.门槛较高
不是随便拉个人过来就能做病毒分析，病毒分析师的门槛较高。一般安全爱好者同样需要对系统有相当的了解。

4.简单分析无法完整展现可疑文件的具体行为
对职业病毒分析员也一样，有人擅长分析蠕虫，可能更了解网络方面的病毒指令，而对其他部分可能会忽略，完整而详尽的病毒分析相当耗时间。


四.常见问题回答
1.“火眼”与云安全鉴定的区别
云安全系统平台采用了30核云端鉴定器，这些鉴定器多是基于对文件的静态分析，部分启发式分析、虚拟化鉴定工具的目的是更快速的识别恶意文件，而不是更清晰的分析文件。
火眼则实现了对可疑样本的详细分析，“火眼”系统的上线后，逐步成熟，再接入云安全系统平台，会对毒霸服务端技术的进步以有力的推动。

2.“火眼”与沙箱的区别
关于沙箱（Sandbox），更多的应用是运行正常程序之后，恢复系统为初始状态，而非运行恶意程序。到目前为止，各种沙箱均存在被穿过的可能。沙箱的主要应用案例有浏览器、iOS操作系统，以隔离程序间的会话，在某一程序（或网页）崩溃时其他应用不受影响。
“沙箱”也是不少技术达人喜欢使用的病毒分析工具，但在注册表镜像的比较方面，“沙箱”略差一些，“沙箱”的运行是动态展现的，最终获得一个静态的报告，还需要应用者筛选和整理。
而“火眼”生成的报告是系统整理完毕的结果，就象医院出具的检验科报告单一样清晰可读。